Como um arranha-céu de Moscou virou um QG do cibercrime mundial

A joia da coroa do distrito comercial de Moscou, uma torre de vidro de 97 andares conhecida ou como Torre da Federação Leste ou Vostok, é um tributo à influência econômica pós-soviética e à força nacional da Rússia.

Os materiais promocionais do edifício, que era o mais alto da Europa quando foi concluído em 2017 e agora está em segundo lugar, orgulham-se de sua bem paga equipe e de sua alegada proteção contra “mísseis e explosões”. Suas unidades são alugadas e pertencentes a altos funcionários do governo e executivos de alto escalão. As unidades residenciais são vendidas por mais de US$ 36 milhões.

Inovação abre um mundo de oportunidades para empresas dos mais variados setores. Veja como no curso Inovação na Prática.

O edifício também abrigou mais de uma dúzia de empresas desde 2018 que convertem criptomoedas em dinheiro, a julgar pelos endereços listados nos sites dessas empresas. Embora não haja nada de intrinsecamente ilegal nisso, essas empresas podem permitir que criminosos obtenham lucros com crimes digitais se não monitorarem vigilantemente seus clientes, e alguns consideram a supervisão negligente, criando um proveitoso nicho de mercado. Especialistas vincularam pelo menos quatro das empresas do Vostok à lavagem de dinheiro associada à indústria de ransomware[1], que gerou US$ 1.6 bilhão em pagamentos de resgate desde 2011, de acordo com o Departamento do Tesouro dos Estados Unidos.

Conflito EUA-Rússia

A percepção de que o governo russo tolera, ou mesmo incentiva, alguns tipos de crimes cibernéticos está no cerne do conflito entre o governo Biden e o do presidente russo, Vladimir Putin. De acordo com o Departamento do Tesouro, este ano hackers criminosos, principalmente na Rússia ou no Leste Europeu, ganharam US$ 590 milhões com ataques de ransomware contra escolas, empresas, entidades governamentais e prestadores de serviços de saúde, ou 42% a mais do que em todo o ano de 2020.

Em uma reunião de cúpula cerca de um mês depois que uma gangue cibernética ligada à Rússia extraiu US$ 4,4 milhões do Oleoduto Colonial, com sede no estado da Geórgia,  Biden alertou Putin que a omissão em acabar com esses ataques acarretaria retaliação. No entanto, hackers com fins lucrativos continuaram a mirar as redes baseadas nos Estados Unidos.

É difícil apresentar uma imagem mais forte da ineficácia da aplicação da lei russa do que a existência de várias entidades com links para ransomware operando no que talvez seja a torre de escritórios mais prestigiosa de Moscou. Uma das empresas do Vostok é a Suex OTC, a primeira empresa russa a enfrentar sanções dos EUA por ajudar cartéis de ransomware a lavar dinheiro. A Suex, que opera a partir da Suíte Q no 31º andar, transformou pelo menos US$ 160 milhões em Bitcoin de fontes ilícitas e de alto risco desde 2018, de acordo com a empresa de pesquisa de blockchain, a Chainalysis. Essas transações representam 40% dos negócios conhecidos da empresa.

Egor Petukhovsky, o maior acionista da Suex na época das sanções do Departamento do Tesouro, negou em uma postagem no Facebook em outubro que ele ou sua empresa tivessem ajudado a lavar dinheiro para hackers e prometeu "defender com vigor seu nome em litígios" nos EUA.

Ocupando o 22º andar, a EggChange, está sob investigação nos EUA e na Europa por acusações de lavagem de dinheiro, de acordo com três fontes familiarizadas com a investigação que buscaram o anonimato porque não estão autorizadas a discutir o processo. (O Departamento do Tesouro recusou-se a confirmar a existência da investigação).

Binance, a maior bolsa de criptomoedas do mundo, diz que também “sinalizou várias contas e fluxos ilícitos associados a ”plataformas, incluindo EggChange e CashBank, uma outra empresa sediada fora do Vostok. Depois de alertar a polícia sobre “atividades potencialmente ilícitas”, a Binance disse que fechou as contas que identificou.

ABuy-bitcoin.pro, que também indica o Vostok como sua sede, transformou centenas de milhares de dólares em fundos de ransomware e para outros operadores ilícitos, inclusive a Hydra, que é a maior operadora de mercado de darknet com base na Rússia, de acordo com a Chainalysis. EggChange, CashBank e Buy-bitcoin.pro não responderam aos pedidos de comentários.

Criptomoedas na capital russa

As empresas de criptomoedas são uma presença importante na cidade de Moscou e no distrito comercial ao redor do Vostok. Ocupando cerca de quatrocentos metros quadrados no antigo local de um parque industrial destruído logo após a queda da União Soviética, o distrito financeiro já abrigou pelo menos 50 empresas que convertem criptomoedas em dinheiro, algumas com conexões com atividades ilícitas. Isso o torna um dos locais mais influentes do mundo para sacar moedas digitais, de acordo com especialistas em segurança cibernética e criptomoedas.

A lei russa exige que as empresas conduzam verificações para  conhecer o cliente, ou realize o KYC [2], para transações em dinheiro que excedam 600.000 rublos (cerca de US$ 8.500), embora as trocas de criptomoedas não sejam regulamentadas e sua conformidades de relatórios não sejam totalmente claras, de acordo com Maria Agranovskaya, uma advogada que representa a Binance na Rússia.

As regras de KYC normalmente envolvem cruzamento de informações pessoais de um indivíduo com bancos de dados públicos. As instituições financeiras também podem limitar o montante de grandes transações envolvendo contas recém-criadas até que estejam satisfeitas com a identidade do titular da conta e a fonte dos fundos.

Esses requisitos não são particularmente onerosos, de acordo com Jackie Singh, ex-funcionária sênior de segurança cibernética da campanha de Biden que agora é conselheira e estrategista sênior da startup de segurança de blockchain Metaversable. Ela vê a ignorância das normas de identificação do cliente como um alerta para os investigadores que procuram operadores ilícitos. “Não há razão para uma pessoa que está conduzindo negócios legalmente buscar uma trading de qualquer tipo que não esteja em conformidade com os processos legais de KYC de seu país”, diz ela.

Endereço de status

Um dos motivos pelos quais o Vostok se tornou um local para essa atividade é a credibilidade que o endereço transmite, de acordo com Stanislav Bibik, sócio da Colliers,  empresa de investimentos imobiliários. Operar lá “dá status ao inquilino e diz que ali está um negócio sólido”, diz Bibik. A realidade é que as empresas que operam no edifício não têm necessariamente qualquer conexão direta com sua firma de gestão, a Aeon. do bilionário Roman Trotsenko.

A Aeon administra o prédio e atua como seu corretor, embora possua uma pequena porcentagem de seu espaço, e os andares individuais são agora propriedade de mais de 100 outras entidades, que recrutaram seus próprios inquilinos sem qualquer envolvimento direto da Aeon, de acordo com especialistas imobiliários em Moscou. A Aeon não respondeu aos pedidos de comentário.

As empresas de criptomoedas que operam dentro do prédio o utilizam como mais do que um endereço – em pelo menos uma instância é o local onde o dinheiro realmente muda de mãos. Um negociante de moedas digitais descreveu recentemente a experiência de sacar moedas no Vostok por meio da EggChange, solicitando anonimato para proteger as identidades dos envolvidos em uma investigação que visa identificar os principais players para a lavagem global de criptomoedas.

A transação, como a maioria das outras, começou com a troca de mensagens com uma conta no serviço de mensagens Telegram, que a EggChange anunciou em seu site e em fóruns de criptomoedas na internet. O responsável pela conta forneceu um documento com os termos formais de troca, incluindo a comissão do vendedor de 1,7%.

O documento tinha espaços em branco para o comerciante incluir nome, número do passaporte e assinatura, que o trader foi instruído a devolver à EggChange. Mas o trader nunca forneceu essas informações, e a EggChange nunca as pediu. Tudo o que a plataforma queria era um nome – qualquer nome – para que a recepção do Vostok pudesse imprimir um crachá de visitante. A Bloomberg Businessweek confirmou a conta do trader ao revisar os bate-papos do Telegram com a EggChange.

Realidade prosaica

A EggChange permite aos clientes sacar criptomoedas por meio de mensageiros em vários países, mas apresentou seu escritório no Vostok como uma espécie de lounge para entusiastas de criptomoedas. “Além de uma troca rápida e segura, garantimos conversas divertidas e educativas sobre o mundo da criptografia, café, chá e bebidas fortes”, diz uma postagem do fórum de 2018 anunciando seus serviços.

A realidade era mais prosaica. O comerciante enviou um portador também conhecido como mula, para pegar o dinheiro. A mula estava equipada com um passaporte falso, mas o comerciante diz que ninguém no balcão de segurança ou no escritório da EggChange jamais pediu para ver qualquer identificação. Em vez disso, a mula deu um nome falso para obter um crachá de plástico genérico e recebeu instruções para pegar um elevador até o 22º andar para ter acesso à Suíte 9.

Ao chegar, a mula encontrou uma porta de metal e um teclado. O contato do Telegram havia fornecido o código de quatro dígitos 2209. Ao entrar, a mula encontrou um simples escritório indefinido de duas salas com vista para as sinuosas margens do rio Moscou. Uma recepcionista estava esperando, equipada com um telefone celular e protegida atrás de uma mesa com uma bandeja de doces, café e chá. Não havia nenhuma referência sobre a EggChange, nenhuma conversa divertida ou educacional criptográfica, e nenhuma indicação de que mais alguém trabalhava lá.

A mula foi solicitada a dizer outra senha que havia sido compartilhada no Telegram, desta vez para identificar e verificar a transação, em seguida, foi solicitada a depositar todos os aparelhos eletrônicos em um armário para se proteger contra vigilância eletrônica. A recepcionista encaminhou a mula para outra porta, que se abriu para revelar um homem que entregou um envelope com dinheiro.

Esse foi o fim da transação. A mula saiu da torre cintilante e voltou para as ruas de Moscou, misturando-se ao tráfego de pedestres, embolsando o dinheiro sem nunca ter revelado sua verdadeira identidade. Era como se ninguém tivesse estado ali. —Com Alexander Sazonov.

[1] Ransomware é um tipo de malware que restringe o acesso ao sistema infectado com uma espécie de bloqueio e cobra um resgate em criptomoedas para que o acesso possa ser restabelecido.

[2] Conheça seu cliente ou conhecer as diretrizes de seu cliente em serviços financeiros exige que os profissionais se esforcem para verificar a identidade, a idoneidade e os riscos envolvidos na manutenção de uma relação comercial. N.T.